本文作者:CoboVault安全练习生
2019年8月,CVE更新了一则代号为CVE-2019-9506的蓝牙漏洞KNOB(Key-Negotiation-of-Bluetooth),CVSS评分高达9.3分。该漏洞由新加坡SUTD的研究人员DanieleAntonioli,德国CISPA的NilsOleTippenhauer博士和英国牛津大学的KasperRasmussen教授发现,漏洞范围横跨蓝牙BR/EDR蓝牙核心规范版本1.0至5.1,影响超过10万台开启蓝牙的设备,包括智能手机、笔记本电脑、物联网设备和工业设备等。
DeFi使用率推动以太坊合约请求量创历史新高:金色财经报道,Coin Metrics表示,7月25日,以太坊上有超过310万的合约请求量,创历史新高。据悉,合约请求(contract call)是一个衡量网络活动的指标。与交易不同,合约请求是用户从智能合约请求特定功能,不会在区块链上发布任何内容,类似试运行。Coin Metrics表示,以太坊网络活动创纪录主要来自去中心化金融(DeFi),其规模已增长了四倍多,目前总锁定价值达40亿美元。[2020/7/29]
蓝牙协议的问世和普及已经有25年的历史。从音频传输、图文传输、视频传输,再到以低功耗为主打的物联网传输,蓝牙的应用场景越来越广泛。
加密游戏CryptoWars不再使用Loom运营的Plasma侧链:金色财经报道,Experimental Games的加密游戏CryptoWars已不再使用Loom运营的Plasma侧链。该公司首席执行官Matias Nisenson表示,在CryptoWars推动的活动下,Loom多次崩溃。Loom前首席执行官Matthew Campbell则表示,CryptoWars在Loom上运行良好,平台对其进行了很好的处理,[2020/4/28]
国内外很多硬件钱包也采用了蓝牙技术来完成冷热端的信息传输。那么,KNOB会对这些硬件钱包产生威胁么?
今天小编就给大家解剖一下蓝牙漏洞KNOB!
声音 | 富国银行创新负责人:使用区块链进行跨境资金转账比使用SWIFT更高效:富国银行创新负责人Lisa Frazier表示,“当我们将资金转移到全球并且我们需要兑换货币时,我们必须通过SWIFT和其他银行等第三方,这是一个漫长的过程,每当与外部各方建立联系时,都需要时间、精力和努力。而使用区块链比SWIFT更快,更便宜,而且效率更高。据此前消息,富国的DLT平台将基于R3区块链技术的付费企业版本R3 Corda Enterprise。定于明年进行的试点将从美元转账开始,预计会扩大到其他货币,最终旨在覆盖全球所有富国分支机构。(Coindesk)[2019/9/20]
动态 | 日本公司GaiaX宣布着手开发使用Libra的开源软件:据Crypto.Watch消息, 7月30日,日本公司GaiaX宣布着手开发使用Facebook计划于2020年发布的虚拟货币Libra的开源软件(OSS)。该公司计划开发出使用Libra的应用原型,并公开其源代码,以推进Libra的采用[2019/8/1]
首先,我们对蓝牙的类型做个简单了解:
传统蓝牙适用于短距离持续的无线连接,比如将图片从手机A传到手机B,蓝牙耳机听歌等。出于安全考虑,两个蓝牙BR/EDR设备在进行安全连接配对时可以协商一个1-16个字节的熵值作为加密密钥,熵值越大表示越安全。
KNOB漏洞就出现在传统蓝牙设备熵协商的过程中。
经研究发现,熵协商的过程使用的是LMP协议,该协议既不加密也不进行验证,因此可以通过无线方式进行攻击挟持和操作。
具体过程如下:
KNOB漏洞允许攻击者对两个目标设备进行使其同意将加密密钥的熵值设定为1字节,这样就可以很容易地对协商的加密密钥进行暴力破解。
我们总结一下KNOB攻击的必要条件:
1、两个设备都是蓝牙BR/EDR设备,且存在KNOB漏洞;
2、攻击者需要在设备的连接物理范围内;
3、由于熵协商需要在每次启用加密的时候都发生,且被攻击的时间窗口非常小,因此攻击者需要非常快速的重复攻击;
了解KNOB的原理后,小编个人认为蓝牙硬件钱包还是相对安全的,因为需要达到攻击条件真的非常困难。
然而和所有无线技术一样,蓝牙通信容易受到各种威胁。因为蓝牙技术使用了各种各样的芯片组、操作系统和物理设备配置,这会涉及到大量不同的安全编程接口和默认设置。这些复杂性增加了蓝牙受到攻击的可能性和影响面。攻击者k可以利用该漏洞对两个设备之间传输的数据进行监听和操纵,进而导致个人身份信息和敏感信息泄露并被跟踪。
以下是给您的一些建议:
1、购买蓝牙硬件钱包前,确认设备蓝牙类型和版本,避免有漏洞历史的版本;
2、尽量不要在公众场合和人多的场景使用蓝牙硬件钱包;
3、设备不使用时,蓝牙功能请保持关闭状态;
4、可以考虑二维码传输数据的硬件钱包,安全透明更省心。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。